Attention, scoop : la cote d’alerte est atteinte pour les SCADA ! Absence de mises à jour, failles en pagaille, connexions IP non maîtrisées : la sécurité des systèmes de contrôle industriel, ou Scada, n’en finit plus d’inquiéter. dit-on… Qu’en est-il vraiment ?

Source

L’article cite quelques exemples, plutôt récents, d’attaques réussies contre des systèmes industriels. Mais il omet de préciser que l’attaque contre ces systèmes existait avant la publication de l’existence de Stuxnet (2010). L’excellent livre l’entreprise, nouveaux défis cyber (ed. Economica) fourmille d’exemples qui lui sont antérieurs. Ce qui prouve plusieurs choses :

• il n’est pire sourd que celui qui ne veut entendre (ce n’est pas de moi) ;
• il y a eu, dit-on, un avant et un après Stuxnet : la preuve que non.

Pour conforter ces remarques, un article fort instructif montre que l’après Stuxnet est similaire à l’avant. On y apprend (novembre 2014) qu’une attaque serait en cours depuis 2011, soit donc après Stuxnet. Un correctif a été déployé pour corriger des vulnérabilités permettant l’exécution de code à distance par un attaquant non authentifié et la récupération de données confidentielles des serveurs de l’entreprise. Il était temps de s’en préoccuper…
Ceci dit, quel serait l’intérêt d’attaquer ces systèmes industriels, et quels pourraient en être les auteurs ?
Pour les mafias, le coût pour faire une attaque de ce type est démesuré par rapport au son profit potentiel. Quant aux groupes terroristes, ils ne possèdent pas suffisamment de moyens de grande ampleur organisés et coordonnés sauf à enrôler et payer une mafia.

Et bien non, justement. Que peut souhaiter une mafia ? Prendre le contrôle d’une entreprise ou la racheter à vil prix. Orchestrons donc une attaque contre l’informatique industrielle (du type relâchement à répétition de produits nocifs ou découpe de produits en-deçà de la tolérance pour que la matière première parte au rebut), une campagne de presse offensive avec une offre de rachat, et combien de temps tiendra l’industriel contre lequel tout se ligue ?
Quant aux groupes terroristes, pourquoi ne s’allieraient-ils pas à une mafia ? Sommes-nous sûrs qu’ils n’ont que des moyens financiers très restreints ? Ont-ils besoin de faire une « arme informatique propre » ? Quant on sait le niveau de protection de l’informatique industrielle, on se dit plutôt que c’est le moment d’y aller, tant que le gruyère n’a pas colmaté ses béances…
Quel manque d’imagination ! Relisons donc les pages 64 à 72 du livre précédemment cité.
Ou revoyons cette vidéo :

Ceci étant, foin du pessimisme, il semble qu’un espoir existe du côté de l’inforensique : Identifying an attack in an instant is reportedly possible with “power fingerprinting,” meaning technology that detects changes in the amount of power devices use. If a device’s “energy fingerprint” changes, the user receives an alert from PFP Cybersecurity. Ce qui est nouveau : au lieu de chercher dans les logs les traces d’une attaque, cherchons d’autres signes ailleurs. Si cette annonce s’avère exacte, un nouveau champ de recherches s’ouvre. Ce qui rappelle un autre extrait du livre cité supra ainsi qu’un précédent billet : Alors qu’elles existent depuis l’aube de l’humanité, les empreintes digitales n’ont été utilisées (en forensique) qu’à partir de la fin du XIX° siècle.
Adaptons : alors que l’alimentation en courant des processeurs existe depuis le début de l’informatique, va-t-elle maintenant servir à identifier des attaques ? Ce serait une bonne chose.